「OpenSSL」にリモートコード実行などの恐れ ～修正版がリリース

「OpenSSL」に12件の脆弱性

　SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」が、1月27日にアップデートされた。複数の脆弱性が修正されているので注意が必要だ。

　今回のリリースで修正された脆弱性は、以下の12件（括弧内は深刻度の評価）。

• CVE-2025-11187：PBMAC1パラメーターの不適切な検証が原因でコードが実行される。v3.6 / v3.5 / v3.4系統のみに影響（Moderate）
• CVE-2025-15467：CMS AuthEnvelopedDataメッセージの解析でスタックバッファオーバーフローが発生し、DoSやリモートコード実行が引き起こされる。v3.6 / v3.5 / v3.4 / v3.3 / v3.0系統のみに影響（High）
• CVE-2025-15468：不明な暗号スイートを受信するとDoSが発生する。v3.6 / v3.5 / v3.4 / v3.3系統のみに影響（Low）
• CVE-2025-15469：ワンショット署名アルゴリズムを使用する際の整合性ギャップ。v3.6系統のみに影響。v3.6 / v3.5系統のみに影響（Low）
• CVE-2025-66199：証明書の圧縮を使用するTLS 1.3接続でサービスの低下やリソース枯渇（DoS）が引き起こされる。v3.6 / v3.5 / v3.4 / v3.3系統のみに影響（Low）
• CVE-2025-68160：BIO_f_linebufferの範囲外書き込みによるDoS（Low）
• CVE-2025-69418：低レベルの OCB 関数呼び出しによるデータの読み取りや改竄。v3.6 / v3.5 / v3.4 / v3.3 / v3.0 / v1.1系統のみに影響（Low）
• CVE-2025-69419：PKCS12_get_friendlyname()におけるUTF-8変換の範囲外書き込みによりDoSなどが発生する。v3.6 / v3.5 / v3.4 / v3.3 / v3.0 / v1.1系統のみに影響（Low）
• CVE-2025-69420：TimeStamp Response検証コードの型混乱によるDoS。v3.6 / v3.5 / v3.4 / v3.3 / v3.0 / v1.1系統のみに影響（Low）
• CVE-2025-69421：PKCS12_item_decrypt_d2i_ex関数におけるNULLポインター参照によるDoS（Low）
• CVE-2026-22795：PKCS#12ファイルの処理で発生するNULLポインター参照によるDoS。v3.6 / v3.5 / v3.4 / v3.3 / v3.0 / v1.1系統のみに影響（Low）
• CVE-2026-22796：PKCS7_digest_from_attributes()関数における型混乱によるDoS（Low）

　開発チームは、以下のバージョンへのアップデートを推奨している。

• 3.6.1
• 3.5.5
• 3.4.4
• 3.3.6
• 3.0.19